CVE-2019-0859 er et zero-day sårbarhed, som var en del af denne måneds Patch tirsdag. Sårbarheden blev opdaget af Kaskersky Labs forskere, der netop frigivet detaljeret teknisk resume af problemet.
I marts 2019, Kasperskys Exploit Prevention (EP) systemer opdaget et forsøg på at udnytte en sårbarhed i Microsoft Windows-operativsystemet. Yderligere analyse af denne begivenhed førte til opdagelsen af en zero-day fejl ligger i Win32k.sys. Det var den femte i træk udnyttes Lokal rettighedsforøgelse sårbarhed i Windows opdaget af det samme team i de sidste mange måneder, forskerne sagde.
CVE-2019-0859 Tekniske Specifikationer
Kort sagt, CVE-2019-0859 er en brug-Efter-Free fejl ligger i systemet funktion, der håndterer dialogvinduer og deres yderligere stilarter. Exploit mønster forskerne stødte på i naturen målrettet 64-bit versioner af operativsystemerne, lige fra Windows 7 til den nyeste builds af Windows 10. Bemærk, at udnyttelse af sårbarheden giver malware at downloade og eksekvere et script skrevet af angriberne. Den værst tænkelige scenario af denne exploit er ved at vinde fuld kontrol over inficerede systemer.
I detaljer, ved udførelse CreateWindowEx sender meddelelsen WM_NCCREATE til vinduet, når det er først oprettet, forskerne forklarede. Ved at bruge SetWindowsHookEx funktionen, er det muligt at indstille en brugerdefineret tilbagekald, der kan håndtere den WM_NCCREATE besked lige før du ringer vinduet procedure.
Endvidere, fejlen er relateret til Funktion ID:
I Win32k.sys alle vinduer er forelagt af tagWND struktur, som har en ”fnid” feltet også kendt som Function-id. Feltet anvendes til at definere klassen af et vindue; alle vinduer er opdelt i klasser såsom ScrollBar, Menu, Desktop og mange andre.
De udnytter forskerne opdaget i naturen var rettet mod 64-bit versioner af Windows (fra Windows 7 til ældre bygger på Windows 10). Fejlen blev gearede ved anvendelse af den velkendte HMValidateHandle teknik brugt til at omgå ASLR.
Efter en vellykket udnyttelse, PowerShell blev henrettet med en Base64 kodet kommando. Det eneste formål med kommandoen var at hente en anden fase script fra https // pastebin.com. Den anden fase PowerShell henrettet den afsluttende tredje fase, der var også en PowerShell script.
Brugere bør installere opdateringen adressering CVE-2019-0859 for at undgå enhver udnyttelse.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: